Perspectivas de Auditoría Interna

Áreas de enfoque de alto impacto

Perspectivas de Auditoría Interna | Áreas de enfoque de alto impacto

En cualquier organización existen numerosas áreas

en las que la objetividad, perspectiva y habilidades de
Auditoría Interna pueden ayudar a las partes interesadas
y proporcionar perspectivas valiosas. Sin embargo, la
encuesta Global aplicada por Deloitte a Directores de
Auditoría (CAE) en 20161 reveló que solo el 28% de los
CAEs creen que sus funciones tienen fuerte impacto e
influencia dentro de sus organizaciones. Esto nos lleva a
una pregunta: ¿Dónde puede Auditoría Interna tener la
mayor influencia e impacto positivo?

A pesar de que las respuestas son diferentes para cada

grupo de Auditoría Interna, en general, el impacto e
influencia incrementan cuando Auditoría Interna atiende
áreas de mayor riesgo, importancia y preocupación para
las principales partes interesadas.

La edición de este año de nuestra serie de Perspectivas

de Auditoría Interna identifica once áreas de alto
impacto para Auditoría Interna en el año por venir.

También explica por qué estas áreas son importantes

para las partes interesadas y cómo Auditoría Interna
podría aproximarse al área en los próximos planes de
auditoría.

1
¿Evolución o irrelevancia? Auditoría Interna en una encrucijada, Encuesta Global aplicada por Deloitte a
Directores de Auditoría, Deloitte, 2016 <http://www2.deloitte.com/content/dam/Deloitte/global/Documents/
Audit/gx-deloitte-audit-executive- survey-2016-print.pdf>

2
PerspectivasBrochure
de Auditoría
/ report
Interna
title|
 goes here
Áreas  Sectionde
de enfoque
| title
alto
goes
impacto
here

01
Perspectivas de Auditoría Interna | Áreas de enfoque de alto impacto

Planeación Estratégica

E
n la planeación estratégica, la gerencia
establece las bases para el éxito o
fracaso de la organización en el futuro.
En la encuesta antes mencionada, el 53%
de los CAEs dijeron que sus funciones de
Auditoría Interna planean revisar el proceso
de planeación estratégica en los próximos tres
años (mayor al 35% en los últimos tres años).
Una revisión así es crítica en estos tiempos
de alteración, al menos para asegurar que
el proceso se mantiene al ritmo de los cambios
en el mercado y los riesgos emergentes. El
Consejo, que debe aprobar el plan estratégico,
desea certidumbre independientemente de
que el proceso de planeación designado se
llevó a cabo y, en caso contrario, de por qué
hubo desviaciones de dicho proceso. Cabe
mencionar que la tarea de Auditoría Interna
no es desafiar la propia estrategia, sino revisar
la integridad del proceso y los modelos que
generaron la estrategia, así como los
escenarios alternos, opciones estratégicas
y supuestos subyacentes.
Pasos a considerar:
Auditoría Interna debe revisar todos
los componentes clave del proceso de
planeación estratégica: partes involucradas,
datos e inteligencia, modelos, supuestos,
escenarios, aprobaciones, comunicación
y uso del plan. Los componentes de alto
impacto potencial incluirían a los supuestos
clave y fuentes de datos de la gerencia,
tales como los relacionados con crecimiento
y participación en el mercado, pronósticos de
ventas, tasas de interés, costos de insumos,
precios de productos, fuentes de
financiamiento y actividades regulatorias.
Auditoría Interna también debe revisar
el gobierno sobre los modelos relativos,
incluyendo acceso al mismo, integridad
de fórmulas y gobierno de datos.
Adicionalmente, Auditoría Interna
puede emitir recomendaciones para
fortalecer el proceso de planeación
estratégica. Estas pueden incluir
involucrar a más partes, utilizar fuentes
de datos adicionales, mejorar la
integridad de modelos, desarrollar
opciones estratégicas más amplias,
comunicar el plan más eficazmente
y monitorear el desempeño más
rigurosamente contra los objetivos.

02
 Perspectivas de Auditoría Interna |
 Áreas de enfoque de alto impacto

Gestión de terceros

L
a gerencia debe considerar todos los
riesgos asociados con el ecosistema
de terceros, que incluye: proveedores, Pasos a considerar:
canales de ventas, afiliados, socios de
investigación y desarrollo, licenciatarios y
servicios en nube y otros servicios de TI.
La investigación de Deloitte2 muestra que Idealmente, Auditoría Interna debe desempeño. Un marco de madurez de
el 87% de las compañías han enfrentado comenzar con una evaluación del proceso la administración de riesgos de terceros
un incidente de alteración con terceros de la gerencia para administrar los riesgos puede ayudar a la gerencia a decidir el
en los últimos dos a tres años, de los y relaciones con terceros en todo el ciclo nivel de rigor al que se debe apuntar
cuales el 28% enfrentó una alteración de vida de la relación. El ciclo de vida en áreas específicas. Las revisiones
importante y un 11% una completa falla de abarca desde análisis y selección hasta de terceros ofrecen rendimientos
terceros. El 94% de los encuestados tienen contratación e incorporación, monitoreo potencialmente altos en ahorro de costos
una confianza baja a moderada en las del desempeño y cumplimiento con y recuperación de efectivo, que van
herramientas y tecnología utilizadas para contratos y extender o terminar el directamente a resultados (en contraste
administrar el riesgo de terceros y el 87% contrato. Hay que revisar el proceso en con el cumplimiento). Sin embargo,
tienen una confianza similar en la calidad cada uno de estos puntos, buscando Auditoría Interna puede necesitar
de los procesos de administración de elementos tales como procedimientos habilidades especializadas para evaluar
riesgos subyacentes. Los Consejos están de selección y contratación, listas ciertas relaciones, tales como aquellas
preguntando a los CAEs sobre los riesgos de verificación de debida diligencia en proyectos de capital, publicidad o
de terceros y los reguladores, clientes, e incorporación y mediciones de cibernéticos.
inversionistas y medios también expresan cumplimiento contractuales y de
preocupaciones
2
Administración de riesgos y gobierno de terceros: Las amenazas son reales, Encuesta global de
administración de riesgos de empresas ampliadas 2016, Deloitte <http://www2.deloitte.com/content/dam/
Deloitte/global/Documents/Risk/gx-gers- TPGRM.pdf>

03
Perspectivas de Auditoría Interna | Áreas de enfoque de alto impacto
Analítica de Auditoría
Interna
L
a Analítica puede impulsar la eficiencia
y eficacia en una gama de actividades
de Auditoría Interna. La planeación
de auditoria dinámica permite a Auditoría
Interna planear con base en riesgos
cambiantes, no solo con los del pasado. La
analítica también permite a Auditoría Interna
proporcionar perspectivas y previsiones
respecto a riesgos y asuntos de interés para
las partes interesadas, así como, reportes
dinámicos impulsados por perspectivas.
Para incrementar la participación de las
partes interesadas, los grupos de Auditoría
Interna están utilizando herramientas de
visualización tales como mapas de calor,
gráficas de burbujas y gráficas interactivas
para reportar los resultados de auditoría,
así como, las perspectivas obtenidas de
la analítica. La analítica predictiva permite
a Auditoría Interna proporcionar análisis
prospectivos de posibles fallas de control y
desempeñar un rol asesor antes y durante
una iniciativa en lugar de únicamente
realizar una evaluación post-mortem
cuando ocurren excesos de costos, fechas
límite incumplidas o malos resultados.
04
Pasos a considerar:
Use la analítica y acepte los desafíos
relacionados que todo grupo de Auditoría
Interna enfrenta. Los datos perfectos no
existen.
La Analítica ha sido adoptada e integrada
incluso en situaciones en las que los
departamentos de Auditoría Interna ven
a los datos de su organización como
subóptimos. Trate de crecer el talento
en casa, pero la subcontratación puede
llevarlo del análisis básico a visualización
de datos y técnicas analíticas más
avanzadas.
Capacite en las herramientas de analítica
a los auditores internos con inclinaciones
tecnológicas y contrate a científicos
de datos según sea necesario. Utilice
aplicaciones de bases de datos y
herramientas de consolidación de
datos para desarrollar conjuntos útiles
y maneras de identificar relaciones y
riesgos. Por ejemplo, con base en tres
años de datos diversos, un banco de
consumo predijo debilidades de control
específicas potenciales y eventos
de incumplimiento en sucursales
particulares. Finalmente, la analítica
se puede aplicar a toda una gama de
problemas. Ejemplos clave incluyen
ausentismo de empleados, cambio
cultural, riesgo de conducta y contención
de costos de TI, así como, riesgos de
ejecución relativos a proyectos de capital,
instalaciones de TI, transformaciones
organizacionales e iniciativas de
desarrollo de productos.
Perspectivas de Auditoría Interna |
 Áreas de enfoque de alto impacto

05
Perspectivas de Auditoría Interna | Áreas de enfoque de alto impacto

Aseguramiento de riesgos
integrado/Aseguramiento
combinado

E
l aseguramiento combinado gana
terreno lentamente y el término
aseguramiento de riesgos integrado Pasos a considerar:
puede ser preferible. Buscar el aseguramiento
combinado puede dirigir la atención hacia
la meta de consolidar reportes de
aseguramiento de diversas fuentes, en
La posición de Auditoría Interna como líneas ya están proporcionando suficiente
lugar de generar un panorama integrado
tercera línea de defensa posiciona a la aseguramiento, por ejemplo, en riesgos de
del riesgo. Aunque el resultado deseado
función para desarrollar y entregar un salud, seguridad, crediticios u otros riesgos.
puede ser similar, el aseguramiento de
aseguramiento de riesgos integrado. Esto puede ayudar a reasignar los recursos
riesgos integrado puede ser el enfoque más
Esto significa que los planes de auditoría de Auditoría Interna. A nivel de reportes, el
útil desde las perspectivas de planeación,
deben comenzar con la estrategia de aseguramiento de riesgos integrado surge
ejecución y reporte. En la planeación de
negocios, metas y medios para lograrlas y naturalmente de este enfoque porque
auditoria, el aseguramiento de riesgos
los riesgos asociados. Entonces, Auditoría Auditoría Interna se enfoca en riesgos clave y
integrado puede generar perspectivas
Interna puede –en colaboración con el no en combinar reportes de aseguramiento
e información más significativa para las
negocio– desarrollar varias hipótesis clave que pueden o no lograr las metas de
partes interesadas. En la ejecución de la
respecto a los riesgos e incorporarlos en el aseguramiento de riesgos. De esta manera,
auditoría, puede mejorar la coordinación
plan de auditoría. Desde un punto de vista el aseguramiento de riesgos integrado
entre la primera y segunda líneas de
de aseguramiento combinado, Auditoría permite a Auditoría Interna generar reportes
defensa y la asignación de recursos de
Interna debe verificar si la primera y segunda más útiles con los mismos o menos recursos.
administración de riesgos y auditoría.
En reporte, puede mejorar la calidad de
la información, la anticipación de riesgos
y las perspectivas entregadas a las partes
interesadas. El aseguramiento de riesgos
integrado mejora la coordinación de
actividades y reportes de aseguramiento,
sirviendo así a las metas del aseguramiento
combinado, a la vez que, genera un punto
de vista integrado del riesgo y un mayor
impacto e influencia para Auditoría Interna.

06
 Perspectivas de Auditoría Interna |
 Áreas de enfoque de alto impacto

Cibernética

E
l término cibernético va más allá de
seguridad cibernética, reconociendo
que las preocupaciones cibernéticas Pasos a considerar:
del consejo van más allá de incidentes
informáticos y riesgos de seguridad. En
tanto que la universalidad de la cibernética
se ha vuelto clara durante el último año, Los grupos de Auditoría Interna proactivos –extendiéndose a riesgos de marca, relación
los consejos han decidido que los reportes están fortaleciendo sus planes y capacidades. y reputación– y las partes interesadas y los
de seguridad e incidentes del Director de Están monitoreando los requerimientos que encargados del gobierno quieren mayor
Información (CIO) o Director de Seguridad les aplicarán, comprendiendo los tipos de aseguramiento. Auditoría interna necesita
de la Información (CISO) no son suficientes. revisiones y aseguramiento que las partes definir un enfoque de auditoría cibernética
Quieren la revisión independiente, interesadas solicitarán y desarrollando las que cumpla con las necesidades de la
objetiva e integral de Auditoría Interna de capacidades necesarias. Dada la escasez organización, industria y partes interesadas,
los riesgos cibernéticos. Las entidades en el mercado de habilidades de auditoría incluyendo reguladores, socios terceros y
legislativas, regulatorias y otras también cibernética, muchos grupos buscarán auditores externos. El plan de auditoría
están impulsando esta tendencia. La Ley la subcontratación para ayudarles a debe jerarquizar los procesos y capacidades
de Sistemas de Seguridad Cibernética desarrollar capacidades o simplemente a ser auditados y definir métodos y
y Reporte de Riesgos, propuesta por el subcontratar las auditorías cibernéticas. frecuencias de las auditorías relativas.
Congreso estadounidense, puede ampliar Independientemente de cuál sea el plan Hecho esto, las funciones pueden alinear
los requerimientos de reporte de Sarbanes- de dotación de recursos para el corto plazo, los recursos –la gente, habilidades y
Oxley (SOX) a riesgos y sistemas de seguridad Auditoría Interna debe prepararse para herramientas– que permitirán a Auditoría
cibernética. El Consejo de Examinación de llevar a cabo revisiones objetivas e Interna ejecutar dichos planes.
Instituciones Financieras Federales (FFIEC) independientes (en lugar de continuar
y la Oficina del Contralor de Divisas (OCC) esperando que las cosas pasen) porque
comienzan a revisar los planes de auditoría los riesgos son muchos y variados
cibernética de las organizaciones. El AICPA
está definiendo directrices para evaluar las
capacidades de gobierno y administración de
riesgos de seguridad cibernética para mejorar
la consistencia y transparencia en los reportes
de seguridad cibernética. Estos desarrollos
reflejan el amplio reconocimiento de que
la cibernética es crítica para la seguridad y
el desarrollo organizacional y que debe ser
auditada de forma periódica y rigurosa.

07
Perspectivas de Auditoría Interna | Áreas de enfoque de alto impacto
Digitalización
E
n términos generales, la digitalización
convierte divisas, transacciones,
servicios, productos, experiencias y
relaciones en formas virtuales. Las formas
virtuales son potencialmente más flexibles,
de mayor alcance y más rentables, pero
más difíciles de auditar. Los productos
digitales (libros, películas), servicios
digitales (compras, banca electrónica), y
modelos de negocios disruptivos tales
como aplicaciones para compartir paseos
o cuartos, aumentan o reemplazan
a los existentes. Los mecanismos
de pago de compañías financieras y
no financieras y las divisas digitales
habilitadas por blockchain, presentan
problemas para casi cualquier compañía.
La realidad virtual está impactando al
Pasos a considerar:
La digitalización tiene impactos profundos,
los cuales Auditoría Interna debe conocer
y ayudar a la organización a enfrentarlos.
Como mínimo, Auditoría Interna debe
medir el impacto de la digitalización interna
o externa en la organización y sus negocios
y funciones. Los riesgos pueden obviarse
fácilmente por el entusiasmo con el que
la gerencia adopte la digitalización.
Digitalizar cualquier aspecto de un producto,
servicio, transacción o relación puede
transformar los riesgos asociados con su
forma tradicional.
Auditoría Interna debe comprender cómo
la digitalización encaja con la visión y
planes estratégicos de la gerencia, llevar
08
diseño y a los videojuegos. El Internet
de las cosas, que afecta a vehículos,
sistemas de calefacción y enfriamiento,
aparatos para el hogar, por mencionar
algunos, se está sumando al mercado.
Las diferentes aplicaciones presentan
problemas, riesgos y oportunidades muy
diferentes, dependiendo del negocio,
partes interesadas, vulnerabilidades y de
la madurez digital de la organización. Todo
esto también aplica aun si su organización
no está digitalizando. Si los competidores
están digitalizando y usted no, puede
enfrentar menores ventas, utilidades y
participación en el mercado, de manera
tal que no digitalizar puede ser el principal
riesgo.
a cabo análisis y clasificaciones de riesgo
apropiados y definir procedimientos de
auditoría para identificar las exposiciones
a riesgo y revisar los pasos de la gerencia
para considerarlas. El punto en el
que estos pasos recaen en auditorías
reales dependerá de la organización y
de la función de Auditoría Interna. Los
esfuerzos tempranos pueden incluir una
auditoria facilitada, revisión, muestreo y
pruebas reales o servicios de asesoría.
Al incrementar su conocimiento de
involucramiento en la digitalización,
Auditoría Interna se posiciona como
prospectiva y fuente de asesoría
estratégica y evita la rutina de planeación
de auditoría de siempre.
 Perspectivas de Auditoría Interna |
 Áreas de enfoque de alto impacto

Cultura de riesgo

L
os reguladores y consejos se están
enfocando en la cultura de riesgo
porque determina en gran medida
las decisiones, conducta y toma de riesgos
dentro de una organización. La cultura
de riesgos afecta no solo a las áreas
operativas y financieras del día a día, sino
también a decisiones que involucran a
investigación y desarrollo (R&D), desarrollo
de productos y servicios y entrada y salida
del mercado. Tomar riesgos excesivos no
siempre es el problema. Con frecuencia
las organizaciones toman muy pocos
riesgos, por ejemplo, en adopción de
tecnología e innovación. Una cultura de
riesgo de toma de riesgos informados
puede permitir el desempeño. Por lo tanto,
medir la cultura de riesgo dentro de las
organizaciones periódicamente se está
volviendo crítico en todas las industrias.
Por ejemplo, las organizaciones del sector
público tienden a ser sensibles al riesgo
de reputación. En organizaciones de
ciencias de vida, los riesgos relativos a
R&D, adquisiciones, modelos de negocios
y cumplimiento regulatorio son de alta
preocupación. En altos niveles así como
en la operación diaria, las motivaciones y
comportamientos alrededor de la creación
de valor y riesgo deben aclararse y dirigirse
apropiadamente.
Pasos a considerar:
Primero, la organización debe definir
la cultura de riesgo para que todas
las partes tengan la misma visión. Por
ejemplo, Deloitte define a la cultura
de riesgo como un sistema de valores
y comportamientos presente en toda
la organización y que da forma a las
decisiones de riesgo diarias. Deloitte
identifica un marco con indicadores de
cultura de riesgo3. Sin importar el marco,
se deben usar indicadores para evaluar la
cultura de riesgo existente y monitorear
los cambios deseables y no deseables.
Auditoría Interna puede auditar la cultura
de riesgo con auditorías financieras y
operativas estándar agregando preguntas
de entrevista, recabando información y
desarrollando una revisión informal.
Alternativamente, Auditoría Interna puede
llevar a cabo una auditoria formal del
proceso de administración, mediciones y
resultados de la cultura de riesgo. Dado
que la cultura de riesgo puede variar en
las áreas organizacionales, los resultados
de las revisiones de cultura de riesgo
deben considerarse individualmente y en
conjunto. Auditoría Interna también puede
hacer recomendaciones para fortalecer la
cultura de riesgo de una organización a
través de capacitación, incentivos,
controles y otros mecanismos. Se pueden
hacer revisiones trimestrales (de cuatro a
cinco preguntas) para evaluar la cultura de
riesgo. Aunque es menos compleja
técnicamente que algunas áreas auditables,
la cultura de riesgo demanda conocimiento
sobre cómo medir la cultura, enmarcar las
preguntas y buscar perspectivas.

3
Ver Cultivando una Cultura Inteligente de Riesgos:
Comprender, medir, fortalecer y reportar, Deloitte,
2012 <https://www2.deloitte.com/content/dam/
Deloitte/us/Documents/center-for-corporate-
governance/us-ccg-cultivating- a-risk-intelligent-
culture-050212.pdf
09
Perspectivas de Auditoría Interna | Áreas de enfoque de alto impacto

Riesgos estratégicos
y emergentes

C
on su visión de toda la empresa
y la responsabilidad de proporcionar
aseguramiento de riesgos, Auditoría Pasos a considerar:
Interna tiene mucho que ofrecer en las áreas
de riesgos estratégicos y emergentes. Los
riesgos estratégicos se relacionan
principalmente, pero no exclusivamente, con El involucramiento de Auditoría Interna Los esfuerzos existentes para monitorear a
alteraciones o factores externos que afectan puede variar de conversaciones informales a los competidores, redes sociales y
a los supuestos estratégicos clave revisiones formales. Las preguntas pueden sentimientos de los clientes con frecuencia
o que pueden impactar a la capacidad de la incluir: ¿Cómo se están identificando estos son aislados, limitados o ambos. Por el
organización para lograr objetivos estratégicos. riesgos de manera proactiva e integral? contrario, la organización necesita un
Los riesgos emergentes son desarrollos en ¿Cómo se están evaluando y monitoreando? marco y un proceso formal, integrado y bien
etapa temprana que podrían impactar en la ¿Se están considerando estos riesgos al sustentado. Auditoría Interna debe revisar
capacidad de una organización para lograr establecer la estrategia y monitorear el el marco, procesos y mecanismos para
objetivos estratégicos y de negocios. desempeño? ¿Quién es el “dueño” de varios identificar, evaluar y administrar riesgos
riesgos estratégicos? ¿Cuánta confianza estratégicos y emergentes. Sin embargo, esta
Los Comités de Auditoría quieren tenemos en nuestra capacidad para área puede ser nueva para Auditoría Interna.
aseguramiento de que la administración detectar riesgos? ¿Quién tiene la Un buen inicio sería realizar entrevistas
de riesgos y negocios puede detectar responsabilidad de rastrear riesgos exploratorias para comprender los riesgos
amenazas estratégicas y emergentes por emergentes y cómo se hace? La mayoría de estratégicos y emergentes que enfrenta la
los movimientos de los competidores, las organizaciones necesitan un mecanismo organización e incorporar revisiones de ellos
tecnología naciente, tendencias cambiantes formal y tecnológicamente habilitado para en los planes de auditoría.
del mercado y desarrollos regulatorios. detectar y monitorear riesgos emergentes.
Pero la identificación de riesgos estratégicos
con frecuencia solo se hace para apoyar el
proceso de planeación estratégica anual
y las capacidades formales de detección
de riesgos tienden a ser subdesarrolladas.
En general, las organizaciones tienden a
enfocarse en riesgos conocidos, de corto
plazo y menos estratégicos que son más
controlables.

La administración de riesgos puede no tener

suficiente enfoque prospectivo y externo
para identificar riesgos emergentes. Sin una
visión integrada de los riesgos estratégicos y
emergentes, la organización está expuesta.

10

Aseguramiento
de sustentabilidad
L
os reguladores, inversionistas
institucionales, organizaciones no
gubernamentales y medios, cada
vez más, buscan revelaciones sobre
riesgos de sustentabilidad que pudiesen
afectar materialmente a la organización
y su desempeño. Dichas revelaciones
deben estar sustentadas por procesos
sólidos, controles fuertes y datos exactos.
Auditoría Interna debe proporcionar
aseguramiento al consejo y a la gerencia
sobre la exactitud e integridad de
revelaciones públicas relacionadas con la
sustentabilidad. Auditoría Interna también
debe proporcionar aseguramiento sobre
la administración de riesgos operativos
y regulatorios ya que esto influirá en la
evaluación de las partes interesadas
del desempeño de sustentabilidad.
Los reguladores e inversionistas se
enfocan cada vez más en los datos
no financieros, que incluyen datos de
sustentabilidad, haciendo de ella un
área de alta importancia. Los datos
incompletos o inexactos pueden llevar a
multas, sanciones y menor interés de los
inversionistas, entre otras consecuencias.
Perspectivas de Auditoría Interna |
Pasos a considerar:
En ausencia de una revisión anual
integral, Auditoría Interna debe cubrir
al menos un área de sustentabilidad
por año, tal como salud y seguridad de
empleados o contratistas, emisiones de
carbono, sistemas de administración
de operaciones o involucramiento de
la comunidad, seleccionada con base
en la importancia del problema. Los
ambientes de sustentabilidad maduros
tienen procesos y reportes formales que
revisar. En ambientes menos maduros,
Auditoría Interna debe avisar a la
gerencia sobre mejoras. Auditoría Interna
puede ir más allá del cumplimiento para
preguntar: ¿Qué riesgos estratégicos
 Áreas de enfoque de alto impacto
puede presentar la sustentabilidad?
¿Cómo puede la sustentabilidad impulsar
eficiencias? Si Auditoría Interna no tiene las
habilidades necesarias, la subcontratación,
contratación externa o contratación y
capacitación pueden proporcionarlas.
Cuando Auditoría Interna es nueva en un
área, proporcionar servicios de asesoría
sobre procesos, captura y reporte de
datos y las bases para estos esfuerzos
pueden ser un buen inicio. La información
de recursos tales como la Iniciativa de
Reportes Globales (GRI) y el Consejo de
Normas Contables de Sustentabilidad
(SASB) puede ayudar a determinar qué
cuestiones son materiales.
11
Perspectivas de Auditoría Interna | Áreas de enfoque de alto impacto

Auditorías de medios

L
as organizaciones con frecuencia
confían en las agencias de publicidad
para planear, ejecutar y autorreportar
sus costos publicitarios y desempeño.
Cambios recientes en el panorama
publicitario han llevado a preocupaciones
de transparencia de agencias y desempeño
publicitario. Un estudio de la Association of
National Advertisers (ANA) 4 identificó
varias prácticas de compra de medios no
transparentes por parte de agencias que
llevaron a costos publicitarios más altos.
Algunos ejemplos son agencias que no
pasan los descuentos y rebajas al
anunciante y la compra de medios de
proveedores propios u otras entidades
relacionadas como mandante (en contra
mandatario), lo que elimina las
protecciones de los anunciantes ante
conflictos de interés. Otras
preocupaciones incluyen que los anuncios
digitales sean vistos por robots, no por
humanos, y anuncios que aparezcan en
lugares digitales inapropiados. Algunos
contratos con agencias no proporcionan a
los anunciantes detalles adecuados de las
transacciones de medios o la capacidad de
rastrear los fondos desde el plan hasta la
colocación.
Pasos a considerar:
Como con todos los proveedores,
Auditoría Interna debe revisar el
proceso para seleccionar, administrar y
monitorear a las agencias publicitarias de
la organización, especialmente cuando
la publicidad es una gran parte de los
gastos generales. El panorama publicitario
actual presenta complejidades que, con
frecuencia, hacen que esta área sea
desafiante para grupos de Auditoría
Interna sin experiencia especializada.
Para comenzar, Auditoría Interna puede
revisar los gastos publicitarios y conciliar
la facturación con las disposiciones
contractuales y los reportes de la agencia.
Auditoría Interna puede recomendar
procedimientos de compra de publicidad,
por ejemplo, para seleccionar, contratar
y nuevos métodos de monitorear
desempeño y costos publicitarios.
Los contratos de agencias deben indicar
claramente los costos y honorarios, el
tratamiento de descuentos y medidas
de desempeño e incluir una cláusula
de derecho a auditar. El monitoreo útil
requiere analítica y visualizaciones de
datos y una revisión para verificar los
niveles de servicio de acuerdo con el
contrato. Las preguntas iniciales que
debe hacer auditoría internamente
serían: ¿Obtuvimos lo que pagamos? ¿El
precio fue claro y justo? ¿Se cumplieron
los requerimientos contractuales?
Nuevamente, esta área presenta
complejidades que pueden requerir
experiencia especializada.

4
Estudio Independiente de Transparencia de Medios
en la Industria Publicitaria de Estados Unidos,
preparado por K2 Intelligence para Association of
American Advertisers, junio, 2016 <https://www.ana.
net/content/show/id/industry-initiative- media-
transparency-report>

12
 Perspectivas de Auditoría Interna |
 Áreas de enfoque de alto impacto

Nuevas maneras
de reportar

I
mpulsada por la demanda de las
partes interesadas, Auditoría Interna
está adoptando nuevos modos de Pasos a considerar:
reportar que simplifican la experiencia del
usuario a la vez que generan perspectivas
impulsadas por datos. Los reportes
resultantes son más prospectivos y Comprométase a entregar reportes Considere aprovechar recursos internos
detallados, más breves y con más capas, cortos, detallados y con capas, con o basados en la red permitidos para
más visuales y dinámicos. Los reportes resúmenes en lugar de narrativas. Diga ayudar a crear infográficas. Obtenga
prospectivos y detallados se enfocan a las partes interesadas lo que necesitan capacitación de ser necesario. Los
en los riesgos y cuestiones de mayor saber, por qué necesitan saberlo y qué dashboards permiten informes dinámicos,
preocupación para las partes interesadas. deben hacer con ello. Utilice herramientas oportunos y jerarquizados sobre un
de visualización y dashboards para proceso, proyecto o área de riesgo y los
Los reportes más breves y con más capas aprovechar los resultados de la analítica lectores controlan el nivel de detalle. Por
evitan reportes densos y complejos que que esté utilizando. Las perspectivas se ejemplo, un grupo de Auditoría Interna
las partes interesadas no leen y permiten multiplican y profundizan con análisis desarrolló una herramienta de reportes
el desglose de datos y cuestiones para las avanzados basados en conjuntos de datos SOX que identificaba las áreas como
personas interesadas. Los reportes más agrupados, datos internos y externos dentro de límites, de preocupación, o
visuales y dinámicos cumplen la necesidad combinados y técnicas predictivas. Aun potencialmente materiales. Las nuevas
de las partes interesadas de perspectivas sin analítica avanzada, Auditoría Interna maneras de reportar son esenciales para
a un vistazo en un ambiente cambiante. puede utilizar mapas de calor, gráficas de incrementar el impacto e influencia de
Los dashboards e infográficas permiten a burbujas e infográficas para transmitir Auditoría Interna.
las partes interesadas acceder a reportes hallazgos y perspectivas.
en sus dispositivos (una tendencia creciente)
mientras que las herramientas interactivas
permiten el desglose y una mayor
interacción del usuario. Mientras más
grande y compleja sea la organización y más
ocupadas estén las partes interesadas, con
mayor rapidez necesita Auditoría Interna
adoptar estas nuevas maneras de reportar.

13
Perspectivas de Auditoría Interna | Áreas de enfoque de alto impacto

El año por venir

N
o todas estas áreas serán de alto
impacto para sus clientes internos
y para el grupo de Auditoría Interna.
Y en realidad no podrá conocer a fondo a
más de unas cuantas en el año por venir. De
hecho, las áreas de más alto impacto dentro
de su organización pueden estar presentes
en otro lado. Para ubicar las más relevantes
para sus clientes internos, pregunte y
escuche. Tome entonces los pasos para
desarrollar o adquirir las habilidades,
herramientas y métodos que le permitirán
proporcionar perspectivas, aseguramiento
y asesoría

14
Brochure / report title goes here |
 Section title goes here

15
Perspectivas de Auditoría Interna | Áreas de enfoque de alto impacto

Contactos
Líderes Nacionales de Auditoría Interna

Sergio Villareal
Socio
svillarreal@deloittemx.com

Carlos Pérez
Socio Líder de PRC
caperez@deloittemx.com

Miguel Hernández
Socio
mihernandez@deloittemx.com

Mario García
Socio
magarcia@deloittemx.com

16
Brochure / report title goes here |
 Section title goes here

17
Deloitte se refiere a Deloitte Touche Tohmatsu Limited, sociedad privada de
responsabilidad limitada en el Reino Unido, y a su red de firmas miembro, cada
una de ellas como una entidad legal única e independiente. Conozca en www.
deloitte.com/mx/conozcanos la descripción detallada de la estructura legal de
Deloitte Touche Tohmatsu Limited y sus firmas miembro.

Deloitte presta servicios profesionales de auditoría, impuestos y servicios

legales, consultoría y asesoría, a clientes públicos y privados de diversas
industrias. Con una red global de firmas miembro en más de 150 países,
Deloitte brinda capacidades de clase mundial y servicio de alta calidad a sus
clientes, aportando la experiencia necesaria para hacer frente a los retos más
complejos de negocios. Los más de 245,000 profesionales de Deloitte están
comprometidos a lograr impactos significativos.

Tal y como se usa en este documento, “Deloitte” significa Galaz, Yamazaki,

Ruiz Urquiza, S.C., la cual tiene el derecho legal exclusivo de involucrarse en, y
limita sus negocios a, la prestación de servicios de auditoría, consultoría fiscal,
asesoría y otros servicios profesionales en México, bajo el nombre de “Deloitte”.

Esta publicación sólo contiene información general y ni Deloitte Touche

Tohmatsu Limited, ni sus firmas miembro, ni ninguna de sus respectivas
afiliadas (en conjunto la “Red Deloitte”), presta asesoría o servicios por
medio de esta publicación. Antes de tomar cualquier decisión o medida que
pueda afectar sus finanzas o negocio, debe consultar a un asesor profesional
calificado. Ninguna entidad de la Red Deloitte, será responsable de pérdidas
que pudiera sufrir cualquier persona o entidad que consulte esta publicación.

© 2017 Galaz, Yamazaki, Ruiz Urquiza, S.C.